Linux

為處理器網關安裝 SSL 證書

  • May 23, 2018

我有為我託管的站點安裝 SSL 證書的經驗,但我不熟悉將伺服器配置為具有傳出連接所需的證書。

我們正準備通過 Cielo 網關處理付款。他們提供了下載證書的列表。該文件指出:

只需在伺服器 Trustedstore 中安裝以下三個文件即可。Cielo 不支持證書的安裝。如果您不確定如何安裝 EV 證書,則應聯繫您的伺服器供應商支持。

我不知道將文件放在哪裡,或者即使我真的需要它們。我找到了這個關於檢查 CA 鏈安裝的頁面,但我不確定如何閱讀此命令的輸出:

openssl s_client -connect api.cieloecommerce.cielo.com.br:443

輸出中的最後一行說明了這一點,所以我可能遺漏了一些東西:

Verify return code: 20 (unable to get local issuer certificate)

我嘗試將證書文件完全按照 Cielo 中的名稱放置/etc/ssl/certs/,但我從openssl.

我的伺服器使用的是 AWS Linux。根據手冊update-ca-trust,我將提供的證書/etc/pki/ca-trust/source/anchors/與此重命名一起放入:

  • Root.crt>cieloecommerce.cielo.com.br-root.crt
  • Intermediate1.crt>cieloecommerce.cielo.com.br-intermediate1.crt
  • Intermediate2.crt>cieloecommerce.cielo.com.br-intermediate2.crt
  • ServerCertificate.crt>cieloecommerce.cielo.com.br-server-certificate.crt

然後我執行了以下命令:

  • yum install ca-certificates

確保包是最新的

  • update-ca-trust extract

建構證書 - 輸出消息:update-ca-trust: Warning: The dynamic CA configuration feature is in the disabled state

  • update-ca-trust enable

解決了上面的警告

  • openssl s_client -connect api.cieloecommerce.cielo.com.br:443

確認連接現在可以工作

  • service httpd reload

在 Apache 上執行的 PHP 程式碼現在擁有新的證書

引用自:https://serverfault.com/questions/913256